Marine Ahuat Woodge (FDJ) "L'enjeu de la donnée se situe essentiellement sur l'activité en ligne où nous comptons 1,3 million de joueurs"
Alors que la Nuit du Data Protection Officer se rapproche, la Data Privacy Officer livre son action au sujet des données des joueurs online et ses projets pour mieux connaître les joueurs en point de vente.
JDN. Quel est votre parcours ? Votre rôle en tant que data privacy officer ? Votre place dans l'organisation ? Qu'est-ce qui vous plait dans cette fonction ?
Marine Ahuat Woodge. Je suis juriste, spécialisée dans les nouvelles technologies. J'ai démarré ma carrière dans ce domaine, notamment chez Unisys, puis chez Yahoo. Je suis entrée à La Française des Jeux en 2009 en tant que juriste au sein du département droit des affaires et informatique. Au moment où il a commencé à prendre de l'ampleur, le sujet de la protection des données m'a également été confié.
En février 2017, j'ai été désignée Correspondante informatiques et libertés (CIL) et nommée data privacy officer, en vue du Règlement général de protection des données (RGPD). Je suis rattachée directement à la directrice juridique groupe, qui est également secrétaire du conseil. Le travail de DPO a ceci d'intéressant qu'il nécessite de faire preuve de créativité, car c'est encore un domaine très nouveau et mouvant, et qu'il impose d'interagir de manière transversale avec tous les métiers de l'entreprise. Il amène aussi à échanger avec ses homologues dans les autres entreprises pour tirer parti de leur expérience et de leurs points de vue. Ainsi, je fais partie de l'Association française des correspondants aux données personnelles (AFCDP) où nous partageons des bonnes pratiques et nos visions des zones encore imprécises du texte pour avancer plus vite.
Quels sont les principaux enjeux liés à la donnée personnelle et à vos actions dans l'entreprise ?
Aujourd'hui, l'enjeu de la donnée se situe essentiellement sur l'activité en ligne où nous comptons 1,3 million de joueurs. Pour jouer, une personne doit ouvrir un compte et y déposer un nombre important d'informations d'ordre personnel. En tant qu'opérateur de jeux d'argent, nous dépendons du code monétaire et financier qui nous oblige à collecter des informations détaillées auprès des joueurs qui s'inscrivent en ligne : nous leur demandons, par exemple, une copie de leur pièce d'identité et nous devons vérifier sa conformité avec les informations fournies. Nous sommes aussi tenus d'informer très précisément les joueurs des conséquences du jeu d'argent.
Les joueurs ne connaissent pas toujours nos obligations et certains s'interrogent sur l'usage que nous pouvons faire de leurs données. Nous devons redoubler d'efforts de pédagogie pour les rassurer sur l'importance que nous accordons au respect de leurs données personnelles. La qualité de notre image de marque est en jeu.
Par ailleurs, FDJ compte quelque trente mille points de vente sur le territoire. Nous collectons encore assez peu de données à ce niveau. Mais notre plan stratégique FDJ 2024 a entre autres ambitions de développer la connaissance du client sur le point de vente et l'innovation dans nos actions marketing. Ce qui va nous amener là aussi à renforcer la pédagogie et la transparence ainsi que la protection (sécurité et confidentialité) des données personnelles de nos clients.
Quelles actions concrètes avez-vous menées depuis votre nomination ?
"Depuis 2011, nous formons les chefs de projet en présentiel pour qu'ils intègrent la protection des données personnelles dans les développements"
Mon action a démarré dès 2016 par une campagne de sensibilisation du Comex au sujet du Règlement. Nous avons proposé une gouvernance du projet à deux têtes car il s'agit d'un projet d'entreprise : une personne responsable de la connaissance clients au sein de la direction marketing clients et moi-même. Et nous avons commencé à étudier le texte et identifier des cas d'usage avec nos équipes.
Fin 2016, nous avons invité Geoffrey Delcroix, en charge de l'innovation et de la prospective à la Cnil, à venir expliquer le rôle de son entité au sein de la Cnil et présenter les principaux axes du RGPD. Cette réunion a été appréciée. Elle a permis aux quelque 70 participants de comprendre les enjeux autour de la donnée personnelle. Nous prévoyons de renouveler ce type d'expérience.
En mars 2017, nous avons mis en place l'organisation à même de déployer la conformité. Elle consiste en un écosystème formé du chief data officer, des deux pilotes du projet et d'une vingtaine de data steward officers, que nous allons former individuellement. Leur rôle sera de servir de relais pour diffuser les bonnes pratiques et faire remonter les sujets de questionnement. Nous nous appuyons déjà sur cet écosystème pour mettre en place les nouvelles procédures requises par le Règlement (notification des failles de sécurité, analyse d'impact, recueil de consentement, registre des traitements, etc.) et effectuer les développements informatiques nécessaires.
Sur un grand nombre de points, nous ne partons pas de zéro : depuis 2011, nous formons les chefs de projet en présentiel pour qu'ils intègrent la protection des données personnelles dans les développements (démarche de privacy by design, ndlr). Ils disposent également de kits de conformité pour les aider au quotidien sur des sujets tels que les cookies.
Et justement, comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Nous avons réussi à démontrer que l'on pouvait travailler en mode innovation ouverte, avec des start-up, tout en respectant la protection des données personnelles"
Pour toucher un public plus large, les campagnes en présentiel ne suffisent pas. Nous finalisons une série de six vidéos de sensibilisation aux différents thèmes du Règlement, tels que les notions de donnée personnelle, de responsabilité, de protection de la vie privée dès la conception. Elles seront accessibles sur notre intranet dédié à la conformité dès janvier 2018. Au-delà de ces vidéos, notre intranet met à disposition des fiches pratiques et des contenus de veille. Nous préparons, par ailleurs, un module d'e-learning en complément des vidéos qui sera obligatoire pour tous les collaborateurs.
L'innovation est un axe fort de l'entreprise. Comment arrivez-vous à marier protection des données privées et innovation ?
Nous avons réussi à démontrer que l'on pouvait travailler en mode innovation ouverte, avec des start-up, tout en respectant la protection des données personnelles. Nous nous sommes rapprochés de notre cellule open innovation et avons construit ensemble un nouveau contrat allégé, adapté aux caractéristiques des projets d'innovation (expérimentaux, courts, agiles, etc.) parce que concentré sur la maîtrise de deux risques majeurs uniquement. Ces risques sont la protection des données et la protection de la propriété intellectuelle. Ce contrat a été mis en œuvre de manière opérationnelle et il fonctionne bien. Cet exemple témoigne de notre capacité à nous adapter aux évolutions du business sans compromettre la gestion des risques majeurs.
Quels sont vos chantiers à venir ?
Un chantier important est celui qui a trait à l'écoute du client, en tant qu'utilisateur de nos services en ligne. Nous ne savions pas, par exemple, comment les mentions obligatoires étaient lues, perçues et comprises par nos clients. Il y a quelques mois, nous avons organisé un focus groupe avec des clients pour les interroger sur ce sujet avec le support de l'entité expérience clients. En quelques heures seulement, nous avons capté un grand nombre d'informations sur leurs comportements, leurs préoccupations et leurs pratiques. Certaines se sont avérées très inattendues. Nous rapprocher de nos clients pour les écouter davantage nous aidera à comprendre leurs besoins, leurs pratiques et leurs usages. Et à imaginer des modes d'information sur la protection de données plus créatives et surtout plus adaptées à la réalité des usages. Nous prêchons pour une évolution de en ce sens.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.